Docker Hub заблокировали возможность обновлять проекты. Как работать дальше
Docker 30 мая в одностороннем порядке заблокировал возможность работы c Docker hub. Блокировка осуществляется по Geo IP.
Так, если вы еще месяц назад создавали микросервисную архитектуру, все клали в Docker-контейнеры, то теперь вы можете встретиться с особенностью, что все это вроде еще и запускается командами вида docker-compose up или docker up, но build сделать не получается.
Когда в Docker файле находится то, что нужно скачать при билде, выдается ошибка, что не удается получить доступ к ресурсу. Знакомо?
Объяснять~> docker pull alpine:3.17
Error response from daemon: pull access denied for alpine, repository does not exist or may require 'docker login': denied: 403 Forbidden
Since Docker is a US company, we must comply with US export control regulations. In an effort to comply with these, we now block all IP addresses that are located in Cuba, Iran, North Korea, Republic of Crimea, Sudan, and Syria. If you are not in one of these cities, countries, or regions and are blocked, please reach out to https://hub.docker.com/support/contact/
Такой ответ сейчас получают пользователи из России. Что можно с этим сделать?
1. Зеркала
В текущей ситуации зеркала актуальны скорее для серверов, а не для настольных компьютеров. Вам всё равно придётся идти в https://hub.docker.com/ чтобы посмотреть имя образа, теги, переменные и т.д.
Публичные зеркала
Это все не очень официально, можно наткнуться на вредоносные исходники. Но пока это хороший вариант создавать образы не через Hub, а загружая с зеркал.
Если хотите использовать публичные зеркала, то используйте от компаний, которым важна репутация. Сейчас это:
https://mirror.gcr.io — Гугл. Он и так знает уже всё, что можно было о вас знать. Теперь ещё узнает, что вы используйте полный образ debian, а не slim версию.
https://dockerhub.timeweb.cloud/ — Зеркало от TimeWeb. Компания не маленькая и не новая.
Думаю, скоро подобное поднимут многие компании.
Своё зеркало
Компания Docker уже очень давно предоставляет образ registry, с помощью которого любой желающий может поднять своё зеркало. В своей компании разумнее хранить исходники у себя же, и обновлять их время от времени. Знакома ситуация, когда работодатель или грантодатель удивляются, что у Вас действительно отечественное ПО? Так вот, представьте, что потеряется хотя бы одна библиотека… В России… Насовсем. Возможно, будет другая версия, но не та, с которой Вы работали. Это, разумеется, боль. Поэтому блокировка Docker hub — это повод развивать свою систему ресурсов.
Логика простая:
Вам нужен образ, например, alpine:3.17, вы просите его у зеркала, зеркало проверяет свой кэш. Если образ у него уже есть, отдаёт вам, если нет — качает и потом отдаёт вам.
Соответственно, чтоб зеркало могло само качать образы, его IP-адрес не должен быть в списках бана у Docker. Скорее всего, ему нужно находиться вне РФ, но не всегда. Проверить, что образы будут выкачиваться на виртуалке без установленного докера:
curl -I https://hub.docker.com/
403 — VPS не подходит
200 — подходит
Ниже приведем самый простой вариант поднятия зеркала через compose.
Без аутентификации через свое «публичное» зеркало
Публичное зеркало могут использовать другие люди, если узнают о его существовании. В результате будет лишняя нагрузка на канал и занятое место на диске. Но плюс в том, что без аутентификации использовать зеркало намного проще.
А ограничить можно, например, на уровне firewall по подсетям.
Для подтягивания сертификатов Let«s Encrypt предлагаю traefik, весь его конфиг помещается в compose файл. Вся конфигурация registry хранится в одном файле и легко перетаскивается в случае чего.
» class=«formula inline»>EMAIL — Для Let«s Encrypt. Отправляет письма с предупреждениями, не особо полезные.
Объяснятьservices:
mirror:
container_name: "mirror"
image: registry:2.8.3
volumes:
- ./data/:/var/lib/registry
environment:
- REGISTRY_PROXY_REMOTEURL=https://registry-1.docker.io
- REGISTRY_HTTP_ADDR=0.0.0.0:80
- REGISTRY_STORAGE_DELETE_ENABLED=true
restart: always
labels:
- "traefik.enable=true"
- "traefik.http.routers.mirror.rule=Host($DOMAIN)"
- "traefik.http.routers.mirror.entrypoints=websecure"
- "traefik.http.routers.mirror.tls.certresolver=myresolver"
- "traefik.http.services.mirror.loadbalancer.server.port=80"
traefik:
image: "traefik:v2.11.3"
container_name: "traefik"
command:
- "--log.level=DEBUG"
- "--providers.docker=true"
- "--providers.docker.exposedbydefault=false"
- "--certificatesresolvers.myresolver.acme.tlschallenge=true"
- "--certificatesresolvers.myresolver.acme.email=с"
- "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
- "--entrypoints.web.address=:80"
- "--entrypoints.websecure.address=:443"
- "--entrypoints.web.http.redirections.entryPoint.to=websecure"
- "--entrypoints.web.http.redirections.entrypoint.permanent=true"
ports:
- "80:80"
- "443:443"
volumes:
- "/var/run/docker.sock:/var/run/docker.sock:ro"
- "./letsencrypt:/letsencrypt"
restart: always
Прописываете А-запись для IP-адреса, помещаете compose-файл куда-нибудь на сервере. Затем docker compose up -d и всё, у вас есть своё «публичное» зеркало.
С аутентификацией
То же самое, но используем Basic Auth. Аутентификация для зеркала таит свой подводный камень, про него будет далее в клиентах.
Registry сам умеет в Basic auth, но там нужно создавать htpasswd файл и, соответственно, отдельный bind/volume под него. Описываю самый простой вариант, поэтому за аутентификацию будет также отвечать traefik.
У traefik свой прикол: символы $ в хэше нужно экранировать ещё одним
Хэш для пароля генерируется стандартно
htpasswd -bBn user password
Либо сразу с фиксом $
echo $(htpasswd -bBn user password) | sed -e s/\\" class="formula inline">/\/g
Полученный hash вставляется в label traefik.http.middlewares.mirror-auth.basicauth.users.Можно задать несколько юзеров через запятую
Объяснятьservices:
mirror:
container_name: "mirror"
image: registry:2.8.3
volumes:
- ./data:/var/lib/registry
- ./auth/:/auth
environment:
- REGISTRY_PROXY_REMOTEURL=https://registry-1.docker.io
- REGISTRY_HTTP_ADDR=0.0.0.0:80
- REGISTRY_STORAGE_DELETE_ENABLED=true
restart: always
labels:
- "traefik.enable=true"
- "traefik.http.routers.mirror.rule=Host($DOMAIN)"
- "traefik.http.routers.mirror.entrypoints=websecure"
- "traefik.http.routers.mirror.tls.certresolver=myresolver"
- "traefik.http.services.mirror.loadbalancer.server.port=80"
- "traefik.http.routers.mirror.middlewares=mirror-auth"
- "traefik.http.middlewares.mirror-auth.basicauth.users=user:$$2y$$05$$D/a0AJqMRN/18eu9hD2Oxe5b9BJDgUvYaXQYSH.aQpjqhhYqswXPO"
traefik:
image: "traefik:v2.11.3"
container_name: "traefik"
command:
- "--log.level=DEBUG"
- "--providers.docker=true"
- "--providers.docker.exposedbydefault=false"
- "--certificatesresolvers.myresolver.acme.tlschallenge=true"
- "--certificatesresolvers.myresolver.acme.email=$EMAIL"
- "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
- "--entrypoints.web.address=:80"
- "--entrypoints.websecure.address=:443"
- "--entrypoints.web.http.redirections.entryPoint.to=websecure"
- "--entrypoints.web.http.redirections.entrypoint.permanent=true"
ports:
- "80:80"
- "443:443"
volumes:
- "/var/run/docker.sock:/var/run/docker.sock:ro"
- "./letsencrypt:/letsencrypt"
restart: always
Получили «приватное» зеркало на минималках.
Не забудьте, что место на диске рано или поздно может закончиться.
Периодически чистить слои без тегов можно так
docker exec mirror bin/registry garbage-collect /etc/docker/registry/config.yml -m
Использование зеркал на «клиентах»
Может не запуститься с полпинка. Пытайтесь.
Linux
Опять же простой сервер с докером. Без этих ваших кубернетусов.
Используем публичное зеркало
Добавляете в файл ~/.docker/config.json. Возможно, его будет нужно создать.
"registry-mirrors": [
"https://Если там ничего, нет кроме зеркала, то выглядит так:
Объяснять{
"registry-mirrors": [
"https://" class="formula inline">DOMAIN"
]
}
Рестарт докера
systemctl restart docker.service
Проверка, что зеркало подцепилось
docker info
В конце должно быть
Registry Mirrors:
https://mirror-example.com/
Теперь при docker pull alpine сервис docker будет ходить в зеркало. Это можно отследить в логах поднятого ранее registry mirror.
На сервере зеркала можно также добавить в /etc/docker/daemon.json. Возможно, его будет нужно создать.
Используем приватное зеркало
У зеркалом с аутентификацией всё немного (много) по-другому.
docker login $DOMAIN
Вводите логин и пароль. И он сам создаёт запись в ~/.docker/config.json.
Но при docker pull alpine качать он будет не с зеркала. Ха-ха. Думали всё так просто?
Но зато, если явно указать путь через зеркало docker pull my-mirror.com/library/alpine, он пойдёт просить образ у зеркала.
Проблема давняя, вот issue.
Есть workround, на ваш страх и риск. Описан он в этой же issue.
После
docker login mirror-example.com
в ~/.docker/config.json получаете такой json:
Объяснять{
"auths": {
"mirror-example.com": {
"auth": "dXNlcjp1c2Vy"
}
}
}
Преобразуем. Нужно добавить ещё один registry с url https://index.docker.io/v1/ и таким же паролем:
Объяснять{
"auths": {
"mirror-example.com": {
"auth": "dXNlcjp1c2Vy"
},
"https://index.docker.io/v1/": {
"auth": "dXNlcjp1c2Vy"
}
}
}
Docker Desktop. Windows, MacOS
У Docker Desktop зеркало можно добавить через Settings - Docker engine. Синтаксис такой же.Пример с публичным зеркалом:
Объяснять{
"builder": {
"gc": {
"defaultKeepStorage": "20GB",
"enabled": true
}
},
"experimental": false,
"registry-mirrors": [
"https://mirror-example.com"
]
}
registry-mirrors добавлено после существующих настроек.
На винде можно, не лазя в GUI, поправить файл C:\Users$USER.docker\daemon.json.
В MacOS вроде в ~/.docker/daemon.json.
Но нужны ли зеркала в Docker Desktop? Скорее нет, чем да.
2. Прокси
Зеркала позволяют только пулить через себя. Просмотр образов, push и прочее через зеркало не получится сделать.
Однако Докер умеет ходить к своему же hub через прокси. Компания Docker продолжает:
Не осилил mirror? Пушить ещё надо? Ну вот через прокси тогда сходи, вот настройка. И пушить заодно сможешь ещё.
Linux
Тут есть некоторая путаница. Для того чтобы пулить образы через прокси, нужно делать systemd службу, а не править ~/.docker/daemon.json.
Переменные в daemon.json применяются при сборке и в запущенных контейнерах. Они не используются для docker cli. В документации это прописано:
These settings are used to configure proxy environment variables for containers only, and not used as proxy settings for the Docker CLI or the Docker Engine itself.
Вам потребуется рабочий HTTP или SOCKS прокси. Продублирую инструкцию по настройке systemd с официального сайта:
Создаём каталог
sudo mkdir -p /etc/systemd/system/docker.service.d
Открываем /etc/systemd/system/docker.service.d/http-proxy.confи вставляем
[Service]
Environment="HTTP_PROXY=http://proxy-example.com:3128"
Environment="HTTPS_PROXY=http://proxy-example.com:3128"
Заставляем systemd найти новый сервис и рестартуем docker
sudo systemctl daemon-reload
sudo systemctl restart docker
Проверяем, что применилось. Должны показаться Environments
~> sudo systemctl show --property=Environment docker
Environment=HTTP_PROXY=http://proxy-example.com:3128 HTTPS_PROXY=http://proxy-example.com:3128
Теперь docker pull выкачивает образ через прокси
Объяснять~> docker pull alpine:3.16
3.16: Pulling from library/alpine
a88dc8b54e91: Pull complete
Digest: sha256:452e7292acee0ee16c332324d7de05fa2c99f9994ecc9f0779c602916a672ae4
Status: Downloaded newer image for alpine:3.16
docker.io/library/alpine:3.16
Docker desktop
Тут всё совсем просто.Идём в Settings - Resourses - Proxies
И в HTTP и в HTTPS вставляем одно и то же значение.
http://proxy-example.com:3128
Теперь и поиск работает
Откуда взять прокси
Это уже другая тема, вкратце с чем у меня успешно завелось:
Образ 3proxy от @paramtamtam:
Объяснятьdocker run --rm
-p "3128:3128/tcp"
-p "1080:1080/tcp"
ghcr.io/tarampampam/3proxy:latest
Самый простой пример для тестов без аутентификации. Использовать недолго и с осторожностью.
Прикручиваем логин и пароль, помещаем в compose
Объяснятьservices:
3proxy:
image: "ghcr.io/tarampampam/3proxy:1.9.1"
container_name: "3proxy"
ports:
- "3128:3128"
- "1080:1080"
environment:
- PROXY_LOGIN=user
- PROXY_PASSWORD=password
restart: always
Теперь есть свои простые HTTP (3128 порт) и SOCKS (1080 порт) прокси.
С паролем переменные выглядят так
[Service]
Environment="HTTP_PROXY=http://user:password@proxy-example.com:3128"
Environment="HTTPS_PROXY=http://user:password@proxy-example.com:3128"
Приложение Nekobox подключенное к серверу по Shadowsocks2022 (либо любые другие из семейства Xray). Обычный режим прокси, без tun и "системного прокси". По дефолту слушает порт 2080.
Вбиваем везде
http://localhost:2080
3. Маршрутизация через роутер
Docker Hub не первый и не последний. Самое удобное для дома/офиса - это маршрутизация в туннель/прокси по доменам на роутере. Никаких клиентов на девайсах, всем занимается роутер.
Статья про MikrotikСтатья про KeeneticОдна из статей про OpenWrt. Здесь используется общий список доменов, который обновляется и прилетает в автоматическом режиме на роутеры. Ресурсы Docker были добавлены ещё вчера. Вы даже можете не заметить, что что-то отвалилось. У меня так было с другим ресурсом, узнал только спустя полгода.
Давайте пробовать различные варианты и смотреть, что получится. Ведь полегло в эти первые дни немало Российских сайтов, где Docker-контейнеризация являлась до 30 мая именно преимуществом. А сейчас резко стала пока еще не недостатком, но уже болью, которую приходится преодолевать.
